設定 Kerberos 的服務主體名稱（SPNs）

我們建議您在與 Amazon 傳輸時使用 Kerberos 型身分驗證和加密FSx。Kerberos 為存取檔案系統的用戶端提供最安全的身分驗證。

若要為FSx使用別名存取 Amazon DNS 的用戶端啟用 Kerberos 身分驗證，您必須新增與 Amazon FSx 檔案系統 Active Directory DNS 電腦物件上的別名對應的服務主體名稱（SPNs）。一次SPN只能與單一 Active Directory 電腦物件建立關聯。如果您SPNs為原始檔案系統 Active Directory 電腦物件設定DNS的名稱已有，您必須先將其刪除。

SPNs Kerberos 身分驗證需要兩個：


HOST/alias
HOST/alias.domain

如果別名為 finance.domain.com，則下列為兩個必要的 SPNs：


HOST/finance
HOST/finance.domain.com

注意

您需要先刪除與 Active Directory DNS 電腦物件上的別名相對應的任何現有 HOSTSPNs，才能HOSTSPNs為 Amazon FSx 檔案系統的 Active Directory （AD）電腦物件建立新。如果 AD 中存在別名SPN的 DNS ，則嘗試SPNs設定 Amazon FSx 檔案系統的將會失敗。

下列程序說明如何執行下列動作：

尋找原始檔案系統 Active Directory DNS 電腦物件SPNs上的任何現有別名。
刪除現有的 SPNs 找到，如果有的話。
SPNs 為您的 Amazon FSx 檔案系統 Active Directory DNS 電腦物件建立新的別名。

安裝所需的 PowerShell Active Directory 模組

登入加入 Amazon FSx 檔案系統所加入之 Active Directory 的 Windows 執行個體。
以管理員 PowerShell 身分開啟。
使用以下命令安裝 PowerShell Active Directory 模組。
```
Install-WindowsFeature RSAT-AD-PowerShell
```

尋找和刪除原始檔案系統 Active Directory DNS 電腦物件SPNs上的現有別名

如果您已為 Active Directory 中電腦物件上指派給另一個檔案系統的別名SPNs設定 DNS ，您必須先移除這些別名，SPNs才能SPNs新增至檔案系統的電腦物件。

SPNs 使用下列命令尋找任何現有的。alias_fqdn 將 DNS 取代為您在步驟 1 中與檔案系統相關聯的別名。


## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

使用下列範例指令碼刪除上一個步驟中HOSTSPNs傳回的現有。

alias_fqdn 將 DNS 取代為您在步驟 1 中與檔案系統相關聯的完整別名。
file_system_DNS_name 以原始檔案系統DNS的名稱取代。


## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

針對您在步驟 DNS 1 中與檔案系統相關聯的每個別名重複上述步驟。

在 Amazon FSx 檔案系統的 Active Directory 電腦物件SPNs上設定

執行下列命令SPNs，為您的 Amazon FSx 檔案系統設定新。
- file_system_DNS_name 以 Amazon FSx指派給檔案系統DNS的名稱取代。
  
  若要在 Amazon FSx主控台上尋找檔案系統DNS的名稱，請選擇檔案系統 、選擇檔案系統，然後選擇檔案系統詳細資訊頁面上的網路與安全窗格。
  
  您也可以在 DescribeFileSystems API 操作的回應中取得DNS名稱。
- alias_fqdn 將 DNS 取代為您在步驟 1 中與檔案系統相關聯的完整別名。
```
## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

##Use one of the following commands, not both:
Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
##Or
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
```
注意
如果原始FSx檔案系統的電腦物件的 AD 中存在別名SPN的 DNS ，SPN則設定 Amazon 檔案系統的將會失敗。如需有關尋找和刪除現有的資訊SPNs，請參閱尋找和刪除原始檔案系統 Active Directory DNS 電腦物件SPNs上的現有別名。
確認SPNs使用下列範例指令碼為別名設定新的 DNS 。確保回應包含兩個 HOST SPNs、 HOST/alias和 HOST/alias_fqdn，如本程序先前所述。

file_system_DNS_name 以 Amazon FSx指派給您檔案系統DNS的名稱取代。若要在 Amazon FSx主控台上尋找檔案系統DNS的名稱，請選擇檔案系統 、選擇檔案系統，然後選擇檔案系統詳細資訊頁面上的網路與安全窗格。

您也可以在 DescribeFileSystems API 操作的回應中取得DNS名稱。
```
## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name
```
針對您在步驟 DNS 1 中與檔案系統相關聯的每個別名重複上述步驟。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

將DNS別名與檔案系統建立關聯

更新或建立DNSCNAME記錄

設定 Kerberos 的服務主體名稱 （SPNs）

注意

安裝所需的 PowerShell Active Directory 模組

尋找和刪除原始檔案系統 Active Directory DNS 電腦物件SPNs上的現有別名

在 Amazon FSx 檔案系統的 Active Directory 電腦物件SPNs上設定

注意

設定 Kerberos 的服務主體名稱（SPNs）